Вращение журнала событий Windows?

9

Windows Server 2003

Есть ли способ легко вращать журналы событий (или автоматически очищать и сохранять)? Я провожу небольшой аудит на этой машине, и мой журнал безопасности становится очень быстрым, и каждые две недели я должен помнить, чтобы сохранить и очистить его.

Да, я мог бы положиться на задания резервного копирования и включить перезапись ... но было бы лучше, если бы я мог просто заставить Windows автоматически сохранять и очищать журнал, когда он приближается к емкости.

windows-server-2003 windows-event-log Boden
источник

Ответы:

12

Кажется, что большинство людей не знают об этой функции, но Windows будет поворачивать файлы журнала автоматически, если это настроено. Ищите «AutoBackupLogFiles» в этом файле.

Вы можете настроить это для каждого сервера отдельно, но это утомительно для большого количества серверов. Я создал административный шаблон, чтобы установить его на серверных компьютерах, а затем написал сценарий запуска, чтобы добавить запланированное задание для периодического сбора, архивации и перемещения файлов журнала в место хранения. Это работало очень хорошо, и было дешево!

http://mx02.wellbury.com/misc/EventLogPolicy.adm

Эван Андерсон
источник
+1 Хороший совет. Я собираюсь дать ему попытку.
Кенчен
Будет ли это работать только на 2008 / Vista или на 2000 / XP / 2003? Какой должна быть политика хранения?
msvcyc
1
Я никогда не пробовал это на Server 2008 или Vista. Он отлично работает на Server 2003 и 2000, и Microsoft говорит, что работает на Windows XP. Параметр хранения должен быть 0xffffffff, чтобы он работал на 2003 / XP / 2000. Вы можете увидеть некоторые подробности от Microsoft по адресу: msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx
Эван Андерсон,
1
Я хотел бы, чтобы были инструкции о том, как настроить его самостоятельно вместо загрузки файла ADM
Джонатан
2

Вот скрипт VBS, который сохранит ваш журнал событий и очистит его. Поместите это в запланированное задание. Обратите внимание, что конкретный журнал событий указан в строке 3 сценария, и вам, очевидно, нужно настроить целевой путь.

Код «заимствован» (т.е. украден) из MSDN .

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
    objLogFile.ClearEventLog
Next
squillman
источник
0

Чтобы увидеть настраиваемые параметры для настраиваемого шаблона ADM, вам, вероятно, нужно щелкнуть меню «Вид» и снять флажок «показывать только те параметры политики, которыми можно полностью управлять».


источник